為一個新系統(tǒng)設(shè)計信息安全保障系統(tǒng)的過程

1、擬定新系統(tǒng)的功能、目標(biāo)

2、風(fēng)險識別，對現(xiàn)有系統(tǒng)、業(yè)務(wù)流程分析

3、風(fēng)險評估，對識別的風(fēng)險預(yù)估出可能造成的后果

4、控制風(fēng)險，按照風(fēng)險大小和主次、設(shè)計相應(yīng)的對策

5、對設(shè)計的對策進行投入產(chǎn)出評估

6、設(shè)計實施方案

7、實施

安全風(fēng)險識別就是把安全威脅找出來。

有形資產(chǎn)指銀行的賬戶、存折、信用卡、商家的商品證券、債券、股票，產(chǎn)品，產(chǎn)品生產(chǎn)的工藝、工藝參數(shù)，無形資產(chǎn)指誠信、可靠的信譽，以及產(chǎn)品的商標(biāo)、商家的專利、知識產(chǎn)權(quán)等。從計算機信息應(yīng)用信息系統(tǒng)安全威脅的分析來看，無形資產(chǎn)是在有形資產(chǎn)破壞之后才引發(fā)的結(jié)果。因此，信息安全保障系統(tǒng)首先要考慮有形資產(chǎn)的保護。

由于風(fēng)險具有不確定性，因此完全消除風(fēng)險是不切實際的。

按性質(zhì)分為靜態(tài)風(fēng)險和動態(tài)風(fēng)險。靜態(tài)風(fēng)險是自然力的不規(guī)則作用和人們的錯誤判斷和錯誤行為導(dǎo)致的風(fēng)險，動態(tài)風(fēng)險是由于人們欲望的變化、生產(chǎn)方式和生產(chǎn)技術(shù)的變化以及企業(yè)組織的變化導(dǎo)致的風(fēng)險。

按風(fēng)險引起的結(jié)果分為純粹風(fēng)險和投機風(fēng)險。純粹風(fēng)險是當(dāng)風(fēng)險發(fā)生時，僅會造成損害的風(fēng)險，投機風(fēng)險是當(dāng)風(fēng)險發(fā)生時，可能產(chǎn)生利潤也可能造成損失的風(fēng)險。

按風(fēng)險源可分為自然事件風(fēng)險、人為事件風(fēng)險、軟件風(fēng)險、軟件過程風(fēng)險、項目管理風(fēng)險、應(yīng)用風(fēng)險、用戶使用風(fēng)險。

1、自然事件風(fēng)險：地震、雷擊、洪災(zāi)

2、人為事件風(fēng)險：分為意外人為事件風(fēng)險和有意的人為事件風(fēng)險
意外人為事件風(fēng)險：不正確的操作、配置、設(shè)計或人員的疏忽大意
有意人為事件風(fēng)險：內(nèi)部竊密和破壞、惡意的黑客行為、工（商）業(yè)間諜、惡意代碼

3、軟件系統(tǒng)風(fēng)險：兼容風(fēng)險、維護風(fēng)險、使用風(fēng)險（指軟件被用戶接受的程度而產(chǎn)生的風(fēng)險）

4、軟件過程風(fēng)險：需求階段的風(fēng)險、設(shè)計階段的風(fēng)險、實施階段風(fēng)險、維護階段的風(fēng)險

5、項目管理風(fēng)險：缺少開發(fā)標(biāo)準(zhǔn)、缺少正規(guī)開發(fā)程序、

6、應(yīng)用風(fēng)險：安全性、未授權(quán)訪問和改變數(shù)據(jù)

安全威脅的對象就是一個單位的有形資產(chǎn)和無形資產(chǎn)，而且主要是有形資產(chǎn)。一個信息系統(tǒng)中的資產(chǎn)不僅僅是軟件和硬件，還包括其他內(nèi)容，一個信息系統(tǒng)中的資產(chǎn)包括：信息或數(shù)據(jù)、硬件、軟件、文檔資料、各種服務(wù)、環(huán)境、工作人員、單位的形象、產(chǎn)品的商標(biāo)、專利、知識產(chǎn)權(quán)等

資產(chǎn)評估鑒定：確定各類資產(chǎn)的不同價值和重要級別以區(qū)別對待。一般可以分為可忽略的、較低的、中等的、較高的、非常高的

威脅、脆弱性、影響之間存在著一定的對應(yīng)關(guān)系，威脅可看成從系統(tǒng)外部對系統(tǒng)產(chǎn)生的作用而導(dǎo)致系統(tǒng)功能及目標(biāo)受阻的所有現(xiàn)象。脆弱性是系統(tǒng)內(nèi)部的薄弱點，脆弱性是客觀存在的，并且本身沒有實際的傷害，但威脅可以利用脆弱性發(fā)揮作用。如果系統(tǒng)不存在脆弱性，那么威脅就不存在，風(fēng)險也就沒有了。影響是威脅與脆弱性的特殊組合，受時間、地域、行業(yè)、性質(zhì)的影響，系統(tǒng)面臨的威脅不一樣，風(fēng)險發(fā)生的頻率、概率不盡相同，因此影響程度也很難確定。

風(fēng)險識別常用的方法：頭腦風(fēng)暴法、面談法、德爾菲法、流程圖法、類比法歷史資料。

安全風(fēng)險的量化是按公式：風(fēng)險值=威脅 * 脆弱性 * 影響計算出來的，因此在定量的計算風(fēng)險時需要將威脅、脆弱性、影響進行量化，最簡單的量化方法是將這三個要素分成高（3分）、中（2分）、低（1分）或零（0）等幾個等級，事件發(fā)生的概率在0~1之間，產(chǎn)生的風(fēng)險分值在0~6之間。